奇安信发布冬奥网络安全“零事故”态势感知研判系统

5月20日,在北京网络安全大会BCS系列活动-冬奥网络安全“零事故”宣传周的首日“中国模式”峰会上,奇安信发布了全新的态势感知研判系统。

这是奇安信首次公开分享北京冬奥会“零事故”经验,也是态势感知研判系统的公开发布。 发布会上,奇安信集团态势感知首席研判专家、冬奥网络安全“零事故”宣讲团专家赵晋龙,就研判系统如何为冬奥网络安全保障和政企客户网络安全保障工作中提供快准稳的态势感知研判服务,和如何全面提升态势感知研判水平做了详细的分析和解读。

在冬奥保障期间,系统为冬奥网络攻击提供了高效、精确、有序的研判,极大提升了研判效率与水平。该系统发布后,将助力政企机构的网络安全防御,实现态势感知研判水平的快速跃升。

面对攻击随意发生的现状,从海量数据之中找到存在高威胁可能的威胁主体,是该系统能够做到掌控既遂、未遂的安全事件的关键。

看清是治理的第一步。赵晋龙表示,网络安全告警的本质是存在一个明确的威胁主体怀着一定的意图,对一个网络系统发起各种手段的攻击尝试所引发的现象。研判系统就是要将存在高威胁可能的威胁主体从海量的威胁告警中判断出来,因此,如何评估“高威胁可能”是研判工作的重中之重。

赵晋龙介绍,新的研判系统通过对基础设施、攻击能力与攻击目的进行分析的基础分析框架,根据攻击者历史上展现的攻击手段、攻击频度、掌握基础设施数量等多维度数据对其能力进行评估,将高威胁可能的主体从海量报警中找出,对既遂的安全事件进行有效应急处置,并针对高风险的未遂安全事件采取针对性防御和分析措施,进而全面提升面对海量报警时的分析研判能力与水平。

在北京冬奥保障过程中,研判系统为攻击研判提供了快、准、稳的有效支撑。面对冬奥期间平均每分钟4400次、共计3.8亿次的网络攻击,如果没有强大的分析研判体系,这样海量的攻击会让有限的资源淹没在处理无效告警之中。

在开幕式前,得益于白泽平台数年来积累的过亿量级的攻击者库,系统仅使用了1个人天,就把全部存量攻击来源IP完成了分级和分类。从数以千万计的攻击中,快速筛查掉不需要关注的攻击主体,并确定了15个高价值的攻击者。

在冬奥保障期间,借助于系统的高效研判能力,每天研判增量攻击者只需要1个工时。整个冬奥期间,共计研判IP地址超过5000个,调查近千攻击者组织,100%覆盖冬奥期间所有发起过攻击的攻击者。经过对其过往的调查和总结,标记高价值攻击者和组织50余个,涉及APT、黑帽子、白帽子等,同时预先发现了境外APT组织的攻击试探,并成功实现反制和预防,真正实现了高效、精确、有序的态势感知研判分析。